文章前言

大家好 我是晓晴
今天呢 在葫芦侠3楼发现一个神奇的帖子
是一个关于如何提取手机相册图片到服务器上的
这里和之前的那篇裸聊诈骗的文章原理相同 这里就不过多介绍了

文章开始

首先开始呢 我先放几张这套源码的截图
源码来自 某网盘外链分享的程序


源码下的view.php文件下 存在任意文件查看的漏洞 如上

爆出数据库账号密码 然后去ping一下这个网址 查看此IP用的是什么主机 目前市面上常见的BTY KANGLE
Kangle一般控制面板和数据库的账号密码都是相同的 只要输入网址/ip:3312既可跳转
Bty亦是如此 但有一个不同的地方是 Bty的是独立的控制面板 如果找不到 那就没法进去了

这里就不过多演示了 我已经挂上马了 发截图

这IDC居然没开 防跨站 这就有意思了 可以随意修改其他站点的文件 或者删库跑路(滑稽
这里修改一个站点的
https://api.bty.plus/
https://hk.bty.plus/

数据库清库跑路 不知道这站站长有没有备份 如果没有备份的话 可以来找我 我还你

文章后言

友情提示：网络非法外之地 并不是你 想来就来 想走就走的